(南京郵電學院  楊融)

    摘要 無線局域網(Wireless Local Area Network，簡稱WLAN)是計算機網絡與無線通信技術相結合的產物，對運營商來講，它是接入網的補充，具有極大的移動性和靈活性，得到了業界的廣泛關注，有著極好的運營前景。本文首先介紹無線局域網技術基礎，進而給出利用美國思科公司AC產品實現運營商開展此項業務所必須考慮的用戶認證和計費的組網方案和具體流程。

    要害詞無線局域網 用戶邊緣業務治理器 Radius服務器 認證 計費

    一、前言

    無線局域網，簡稱WLAN(WirelessLocalAreaNetworks)，是利用射頻(Radio Frequency)技術，取代舊的雙絞銅線(Coaxial)所構成的局域網絡。

    移動運營商建設無線局域網的目的在于利用WLAN結合現有的移動網絡和功能，為用戶提供更快捷更廣泛的移動語音和數據接入服務，同時也作為有線數據接入的補充手段。現有移動網絡與WLAN互為補充，是無線運營商搶攤數據市場，確保傳統語音業務的要害。

    與企業內部的應用模式不同的是，作為可運營的WLAN不再僅僅為用戶提供簡單的網絡互連，更重要的是實現電信級運營，因此要在基本架構的基礎上添加計費、網管、認證等一系列網絡實體。必然要考慮用戶的訪問控制方法和計費方式，部署認證和計費系統。本文結合實際案例，對此進行了分析。

    二、WLAN簡介

    WLAN是一種能支持較高數據速率（2-11Mbit/s），采用微蜂窩、微微蜂窩結構、自主治理的計算機局部網絡。它可采用無線電或紅外線作為傳輸媒質，采用擴展頻譜技術，移動的終端可通過無線接入點來實現對Internet的訪問[1]。在WLAN這個領域中有兩個主要標準：IEEE802.11和HipERLAN（HighPerfomaceRadioLocal Area Network）。

    作為互聯網的延伸手段，WLAN通過無線介質發送和接收數據，而無需線纜介質。它數據傳輸速率可以達到11Mbps（802.11b標準），通信范圍不受環境條件的限制，網絡的傳輸范圍大大拓寬，最大傳輸距離可遠至20km以上，是有線網絡和用戶端計算機之間的“無限延伸”，具有傳統局域網無法比擬的靈活性。WLAN可以在普通局域網基礎上通過無線Hub、無線接入站（AP）、無線網橋、無線Modem及無線網卡等來實現，其中以無線網卡最為普遍，使用最多。

    無線局域網具有以下特點[2]：

    ●可移動性，不受布線接點位置的限制；

    ●數據傳輸速率高，大于1Mbps；

    ●抗干擾性強，能實現很低的誤碼率；

    ●保密性較強，可使用戶進行有效的數據提取，又不至于泄密；

    ●高可靠性，數據傳輸幾乎沒有丟包現象產生；

    ●兼容性好，采用載波偵聽多路訪問/沖突避免（CSMA/CA）介質訪問協議，遵從IEEE802.3以太網協議。與標準以太網及目前的幾種主流NOS完全兼容，用戶已有的網絡軟件可以不做任何修改在無線網上運行；

    ● 快速安裝，無線局域網的安裝工作非常簡單，它無需施工許可證，不需要布線或開挖溝槽，安裝時間只是安裝有線網絡時間的零頭。

    在國內，WLAN的技術和產品在實際應用領域還是比較新的。但是，由于其不可替代的優點，將會迅速地應用于需要在移動中聯網和在網間漫游的場合，并在不易布線的地方和遠距離的數據處理節點提供強大的網絡支持。非凡是在一些諸如：展覽和會議、金融服務、旅游服務、移動辦公系統等行業中，WLAN將會有極大的發展機遇。為了實現WLAN的電信級運營，WLAN需要在基本結構的基礎上添加計費、網管、認證等一系列物理/邏輯功能實體。

    三、WLAN的安全認證策略

    現在，無線局域網已經形成了發展主流，網絡治理人員希望無線局域網能夠提供和有線局域網一樣的安全性、可治理性以及可伸縮性。其中最主要考慮是安全性，包括訪問控制和加密。訪問控制保證敏感數據只能由授權用戶訪問。加密則保證發射的數據只能被所期望的用戶接收和理解。總的來說，為了確保安全性，無線局域網安全方案應做到：

    1）無線局域網身份驗證基于與設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用。

    2）支持客戶機和驗證（RADIUS）服務器之間的雙向身份驗證。使用由用戶身份驗證動態產生的WEP(有線等效加密,WiredEquivalentPRivacy)密鑰，并不是和客戶機物理相關的靜態密鑰。RADIUS是一種國際通行的嚴密安全認證機制，該機制通過設置在RadiusServer上的數據庫對客戶端進行認證，客戶端在使用網絡之前必須先輸入用戶名、密碼等認證信息，并只有在認證通過時才開放該客戶端的網絡使用權限。目前大家所熟知的移動電話、163/169等可漫游上網方式均采用了此種認證機制作為后臺處理。。

    3）在部署WLAN時，要采用以下一些安全策略：

    在應用802.11傳統安全機制（SSID,靜態WEP加密）的同時，更可采用802.1x所提供的增強的安全機制,以保障WLAN最大的安全性。

    使用動態的WEPKey,并定期更換。

    定義sessiontimeout時間。

    根據實際情況選擇適當的keyupdate間隔時間。

    只將靜態WEP機制作為最后的手段來應用。

    4）假如采用靜態WEP機制，則應該定時更換WEPKey。

    具體認證流程簡述如下[3]：

    A.無線客戶機與訪問點進行通信

    B.在登錄到網絡之前，訪問點拒絕所有客戶機的對網絡資源的訪問。

    C.客戶機上的用戶在網絡登錄對話框或類似功能的對話框中提供用戶名和口令。

    D.利用802.11X和EAP，無線局域網上的客戶機和RADIUS服務器通過訪問點進行雙向身份驗證。有幾種驗證身份的方法備選。在Cisco的身份驗證方法中，RADIUS服務器發送一個驗證詢問信息到客戶機。客戶機利用用戶提供的單向口令散列信息來生成對詢問的響應，并把這個響應送到RADIUS服務器。RADIUS服務器根據它的用戶數據庫中的信息，自己產生一個響應，并與客戶機所送來響應進行比較。一旦RADIUS服務器驗證了客戶機的身份，上述過程逆向重復。

    E.當這個雙向的驗證過程全部完成后，RADIUS服務器和客戶機確定一個有別于客戶機的WEP密鑰，并為客戶機提供合適級別的網絡訪問權限，為個人臺式機提供與有線交換部分相似的安全性。然后，客戶機加載密鑰，預備把它應用到登錄會話過程中。

    F.RADIUS服務器通過有線局域網發送一個稱為會話密鑰的WEP密鑰到訪問點。

    G.訪問點利用會話密鑰對廣播密鑰進行加密，把經過加密的密鑰送到客戶機，客戶機利用會話密鑰進行解密。

    H.客戶機和訪問點激活WEP，并把會話和廣播密鑰應用到后續會話的所有通信過程中。EAP和802.11X在遵循WEP的基礎上，提供了一個集中治理、基于標準、開放的方法來解決802.11標準在安全方面的局限。同時，EAP框架是對有線網絡的擴展，為每個訪問方法都提供了一個單獨的安全結構。

    在認證方面，可以采用以下三種認證方式之一：

    1）WEB認證：采用RC4序列密碼算法，即運用共享密鑰將來自偽隨機數據產生器的數據生成任意字節長序列，然后將數據序列與明文進行異或處理，生成加密文本。它最大的缺點是缺乏安全保證，不具備認證、訪問控制和完整性校驗功能。但整體方案簡單方便，不需要額外增加客戶端軟件,易于實施，對用戶的兼容性最好，可以吸納其他運營商的客戶及企業用戶。

    2）SIM認證：在這種方式中，用戶接入WLAN之前，要發出認證請求，該認證請求中帶有用戶SIM卡的IMSI信息。鑒權服務器將請求包裝成一條標準的GSM/GPRSMAP信令，并將它通過SS7信令網轉發給該用戶的歸屬HLR，采用GSM/GPRS的認證鑒權機制完成整個認證過程。這種方式能夠充分發揮GSM/GPRS鑒權的優勢，同時又可以利用WLAN業務與GPRS業務的特點，由GPRS實現廣域覆蓋，由WLAN實現寬帶數據接入，從而達到優勢互補的目的。最大的優點是提供完善的安全機制，但是需要安裝客戶端軟件。

    3）短消息認證：使用手機號加短消息實施密碼方案，計費系統與現有GSM計費系統統一。用戶在WLAN中假如需要進入Internet，門戶服務器（portalserver）要求用戶輸入手機號，并用此手機號再生成一個隨機密碼；然后要求用戶輸入密碼，同時認證服務器通過短消息網關向用戶發出隨機密碼，用戶將手機收到的隨機密碼輸入網絡，即可啟動RADIUS認證；該方式的特色是用戶可以通過短消息或WAP&WEB頁面隨時修改密碼；由于使用短消息的方式與移動運營商有較強的捆綁，使用方便，輕易實現漫游。存在的問題是雖然使用了短消息發送注冊密碼，但是仍然存在安全性不足和短消息時延問題；由于該接入方式是通過用戶自開戶的方式獲得賬號，所以用戶信息很少，不利于后續業務的開展。

    四、WLAN的計費：

    WLAN網絡的計費原理與其它接入技術比較，并不存在差異，同樣都是通過accessPortal（接入門戶）,Radius服務器與計費服務器之間的相互協商來實現實時的Pre-paid（預付費）計費及Post-paid（后付費）。但是，由于過去接入Portal（門戶）無法實現基于不同用戶，不同服務的計費。在一定程度上，限制了向提供客戶更多更友好的接入增值服務。隨著技術的發展，以上問題已經得到了解決，已經可以提供：

    1）實時的基于服務類型的計費服務：這種方案實現了最大靈活度的計費，不論是哪種服務類型和計費方案，用戶都可以基于訪問帶寬，訪問時間或訪問流量來進行計費，而不必關心具體的網絡架構。此種方案可將計費進程延展至應用層（4-7），實現不同內容的不同計費。

    2）在線顯示用戶賬戶費用情況及服務使用情況：在Pre-pay情況下，用戶經常需要往特定賬號充值以繼續使用服務。新型的Portal可隨時提供給用戶有關其各項服務的使用狀況。

    3）多服務訪問：新型的AccessPortal應該具備支持在同一PPP(或PDP)Session情況下多并發服務的功能。

    思科新型的接入網關設備(Access Gateway)，通過在現有Cisco Router( 7400,7200)升級IOS版本，可以同時滿足多種類型接入服務的要求（如GPRS , Dial Access, DSL等）， 并與第三方的計費軟件相結合，可提供完全的Pre-Paid, Post-Paid功能，同時也可以提供上文所提到的實時的基于服務類型的計費服務、并發服務，服務選擇，用戶使用情況的在線顯示等增值服務[4]。圖1是具體的流程圖。

    圖1思科概念下的WLAN計費具體流程圖

    注：圖中的SSD即為SESM,SSD是對SESM的早期稱呼。

    業務選擇網關（SSG）是一種面向業務供給商的交換解決方案，這些業務供給商向使用無線接入（WLAN、GPRS、CDMA2000、2GCSD）和其它不同接入技術（DSL、有線調制解調器、網橋、路由、PPP、L2TP、802.11等）的用戶提供內部網、外部網、互聯網以及非凡的內容和應用連接，以實現多業務聯網以及增強的用戶體驗和更多的計費選擇。SSG向用戶提供鑒權、業務選擇和業務連接功能。

    SSG同鑒別、授權和記帳（AAA）治理網絡通信，該網絡中還將有RADIUS、動態主機配置協議（DHCP）以及簡單網絡治理協議（SNMP）服務器。SSG還可同連接到互聯網、企業網絡和增值業務的業務供給商絡通信。

    同SSG一起，用戶邊緣業務治理器（SESM）使業務供給商可以建立有品牌的Web門戶，為用戶提供業務菜單，使他們可以使用Web瀏覽器登錄和退出不同的業務。這種功能可以為用戶提供靈活性和便捷性，使業務供給商可以根據連接時間和使用的業務而不是固定費率來向用戶計費。由于能夠在一個有品牌的門戶中提供多種業務，業務供給商就可以采取創新的定價策略，并發展有吸引力的移動數據業務。SESM充分利用Web瀏覽器無處不在的優勢，而且不再需要同客戶端軟件相關的后勤工作（如使用許可費、分銷物流以及越來越繁重的客戶支持負擔等）。

    當SSG同SESM一起使用時，用戶可以打開一個Html瀏覽器并訪問SESMWeb服務器應用的URL。SESM可以將用戶的登錄信息轉發到SSG，再由SSG將這些信息轉發到AAA服務器（當SESM在RADIUS模式下運行時），或者在SESM在LDAP模式下運行時轉發到SESM的RADIUS－DESS代理（RDP）。

    當SSG接收到有效的訪問請求(Access-Request)之后，它就將其轉發到RADIUS服務器。假如用戶身份無效，則AAA服務器或者RDP就會發送一條拒絕訪問(Access-Reject)消息。假如用戶合法，則AAA服務器或者RDP就向該用戶發送一條接受訪問(Access-Accept)消息，同時包括該用戶有權訪問的業務類型信息。SSG答應用戶登錄進入，在內存中創建一個主機對象，并將請求發送給SESM或者下行NAS。

    根據接受訪問響應的內容，SSG可以為每個用戶的每種自動業務創建一條合適的連接，或者，它還可開始計算的RADIUS時間以及連接使用流量。當SSG同SESM一起使用時，SESM可以給出一個授權用戶使用的業務的清單，用戶可以選擇其中的一種或多種業務。接下來，SSG為用戶創建一條合適的連接，作為可選項，還可開始計算的RADIUS時間以及連接使用流量。SSG使運營商可以為某種特定業務配置一個臨時計費時間間隔。SSG計費程序可以發送計費、審計和報告等信息。Radius收集的原始計費信息可以進一步和OSS系統集成。

    五、WLAN網絡方案實例

    由于實際應用中WLAN的認證和計費過程密切相關，在此以思科產品為例，給出一個WLAN方案實例，如圖2所示。

    圖中，WLAN用戶認證采用WEB方式。接入控制設備(AccessController，AC)由SSG(業務選擇網關)和SESM（用戶邊緣業務治理器）構成，在各個節點配置一臺Cisco7400作為SSG，這樣可以避免租用長途連接、可以靈活地實現各種網絡控制（如：NAT等等功能）；而SESM系統僅配置一套，便于集中治理,它們是認證和計費的要害所在。該設備在因特網和無線接入局域網之間充當網關（Gateway）。對用戶的認證、對網絡的實時監控和搜集計費信息進行治理，是一個具有支持各種路由協議和支持眾多網絡治理功能的路由器。它可以直接與認證服務器相連，或者通過RADIUS網絡與其相連。與認證服務器或標準的RADIUS服務器相連可實現用戶名/密碼認證、漫游和計費等功能。 接入控制器應用了DHCP（Plug &Play）+ Web Portal + Radius的接入和認證技術。采用DHCP + Web Portal + Radius的寬帶接入環境里，用戶的IP地址可以通過DHCP獲得或者由運營商分配固定IP地址，用戶的認證則是通過用戶瀏覽器來完成的，不需要另外再安裝客戶端軟件。對于移動場所的用戶（例如酒店），該產品實現了即插即用（Plug & Play），用戶無需改變自己的網絡配置，與網絡物理連接后，可以象DHCP或固定分配地址的用戶一樣，直接通過認證上網。

    六、結束語

    運營商部署WLAN所要考慮的主要問題就是網絡的穩定性、可用性和網絡計費功能正常運轉，即認證和計費。部署WLAN被形象地比作將網絡交換機端口放在門外。本文以思科公司的產品為基礎，重點闡述了WLAN業務中運營商最為關心的有效的認證和計費策略及流程，并給出了實用的例子。

    現階段，結合了無線和寬帶兩項技術的WLAN在運營商眼里無疑意味著市場與機會，是不會輕易放過這個使現有網絡獲得新的贏利的大好機會的。從WLAN誕生的那天起，就伴隨著眾多運營商追逐的腳步。部署熱點WLAN、探索新的電信業務運營模式、推動無線寬帶產業發展，運營商們正在以不斷的熱情和行動實踐著這個夢想。

    參考文獻

    [1]《無線數據傳輸網絡：藍牙、WAP和WLAN》Gil.Held著 人民郵電出版社 2001

    [2]《應用于移動環境中的WLAN接入網結構》 談振輝著 中興通訊技術（簡訊） 2003 ,2

    [3]治理Cisco網絡安全 Wenstrom著 人民郵電出版社 2001

    [4]Cisco安全體系結構 赫爾德 機械工業出版社 2001

    AuthenticationAndAccountingfor WLAN

    YangRong

    （DepartmentofC.E. ，Nanjing Post&Telecom University Nanjing 210003）

    Abstract：WLANisthecombination with computer network and radio communication.To Operator,it is the supplement of access network.Because of its mobility and flexibility ,it got mUCh attention,so it has great operation foreground.In this letter,we first introduced the basic of WLAN,then we offered the scheme and flow for anthentication and accounting when an operator want to offer this service on Cisco production.

    Index：WLANSESM Radius Sever Authentication Accounting